云数据中心安全规划设计

1、PAGE 云数据中心安全规划设计目录 TOC o 1-3 h z u HYPERLINK l _Toc47297429 1前言 PAGEREF _Toc47297429 h 2 HYPERLINK l _Toc47297430 1.1背景 PAGEREF _Toc47297430 h 2 HYPERLINK l _Toc47297431 1.2文档目的 PAGEREF _Toc47297431 h 2 HYPERLINK l _Toc47297432 1.3适用范围 PAGEREF _Toc47297432 h 2 HYPERLINK l _Toc47297433 1.4参考文档 PAGERE

2、F _Toc47297433 h 2 HYPERLINK l _Toc47297434 2安全 PAGEREF _Toc47297434 h 3 HYPERLINK l _Toc47297435 2.1信息安全背景 PAGEREF _Toc47297435 h 3 HYPERLINK l _Toc47297436 2.2工作方法说明 PAGEREF _Toc47297436 h 3 HYPERLINK l _Toc47297437 2.3集团安全目标 PAGEREF _Toc47297437 h 5 HYPERLINK l _Toc47297438 2.4集团安全体系功能服务组件框架 PAGE

3、REF _Toc47297438 h 8 HYPERLINK l _Toc47297439 2.5集团云安全规划路线 PAGEREF _Toc47297439 h 30前言背景集团信息中心中心引入日趋成熟的云计算技术，建设面向全院及国网相关单位提供云计算服务的电力科研云，支撑全院各个单位的资源供给、数据共享、技术创新等需求。实现云计算中心资源的统一管理及云计算服务统一提供；完成云计算中心的模块化设计，逐渐完善云运营、云管理、云运维及云安全等模块的标准化、流程化、可视化的建设；是本次咨询规划的主要考虑。文档目的本文档为集团云计算咨询项目的咨询设计方案，将作为集团信息中心云计算建设的指导性文件和依

4、据。适用范围本文档资料主要面向负责集团信息中心云计算建设的负责人、项目经理、设计人员、维护人员、工程师等，以便通过参考本文档资料指导集团云计算数据中心的具体建设。参考文档集团云计算咨询项目访谈纪要信息安全技术信息系统安全等级保护基本要求（GB/T 22239-2008）信息系统灾难恢复规范（GB/T20988-2007）OpenStack Administrator Guide（ HYPERLINK / /）OpenStack High Availability Guide（ HYPERLINK / /）OpenStack Operations Guide（ HYPERLINK / /）Ope

5、nStack Architecture Design Guide（ HYPERLINK / /）安全信息安全背景综述集团将秉承“努力超越、追求卓越”的企业精神，坚持自觉服从、服务于公司科学发展的大局，进一步统一思想，坚定信心，业务取得了快速发展。随着业务的发展，集团对信息安全要求越来越高，希望打造满足等级保护三级要求和满足集团信息安全要求的高合规的安全体系。为实现此目标，项目组从物理、网络、主机、应用和数据五个方面分别对集团现阶段及三年后的业务规模、对现有安全措施的整合、对网内外纵深防御的安全技术点进行分析和规划。集团安全现状概况当前整体信息安全风险不受控，易发生安全事件，造成安全事故。组织：

6、缺失专业的安全人员，没有集团自己的安全团队，更多依据经验或者外包进行安全规划，缺乏安全防范统一规划能力；管理：管理制度体系有统一的信息安全管理标准和流程规范，但有缺失，存在安全事件的发生；技术：信息技术手段及安全设备支撑能力不足，存在安全产品配置不规范的现象存在。工作方法说明工作方法流程项目组参考了ISO15408等国际安全标准，进行了安全技术架构规划，总体工作思路如下图所示，具有三个要点：统一遵循高合规架构化方法来规划集团的安全技术架构；基于规范化的架构规划方法（MASS），根据集团的业务需求来确定所需具备的信息安全技术能力，完成安全技术功能服务组件框架定义与部署设计；在安全技术功能服务组件

7、定义和服务组件运行部署设计确定的基础上，根据集团的安全技术现状，提出3年的安全建设规划。 安全技术架构规划总体工作思路步骤一 安全需求梳理，在本项目中，我们将从近期集团信息安全技术风险需求、来总结和梳理信息安全技术建设的要求，并在此基础上总结安全技术目标和安全技术架构设计原则。步骤二 安全技术架构功能服务组件框架（静态模型），在步骤一工作的基础上，制定集团的安全技术架构功能框架，它由一系列的安全技术功能服务组件所构成，每个安全技术功能服务组件的选择都是基于信息安全技术建设的需求，这些安全技术用于实现集团的安全技术目标。步骤五 安全技术建设项目规划，总结集团的安全技术体系建设规划的工作重点，定义

8、安全技术建设项目。每个识别出集团需要进行建设的安全技术项目，都是为了建设集团的安全技术服务平台。通过一系列项目建设来实现集团安全技术架构的构建。步骤六 安全技术建设阶段规划，在每个安全技术项目定义明确的基础上，分析每个项目建设的轻重缓急，整理出符合集团实际的安全建设阶段划分，为今后3年的信息安全技术建设规划提供建议。参考标准ISO/IEC 15408：“信息技术 安全技术 信息技术安全性评估准则（简称CC），国际标准化组织在现有多种评估准则的基础上，统一形成的。2001年，我国将ISO/IEC15408直接引入为国家标准，命名为GB/T18336。ISO/IEC 27001：信息技术、安全技术

9、、信息安全管理体系 要求ISO/IEC 27002：信息技术、安全技术、信息安全管理实用规则。等级保护：信息系统安全等级保护基本要求第1部分通用安全要求、信息系统安全等级保护基本要求第2部分云计算安全技术要求集团安全目标安全需求总结为了全面掌握集团的安全技术需求，项目组从集团信息安全组织架构、管理制度、安全技术、业务发展需求等多个方面来总结和梳理信息安全技术建设的要求。而传统安全与云安全存在不同，特别需要关注虚拟机之间的安全、数据迁移的安全、数据存储的安全等。具体如下图：云安全面临挑战集团云安全现状安全技术目标本次安全目标是以集团的未来三年的业务类型和规模，实现满足等级保护三级要求和满足集团安

10、全要求的高合规安全体系。安全技术架构设计原则在安全技术架构规划设计过程中，需要遵循以下的原则：统一性安全技术手段的建设应综合分析公司整体安全需求，实现安全服务平台化、统一化。综合性应从外到内、从点到面、从源头控制到事后恢复，进行综合性的整体预防与控制。先进性具有前瞻性，考虑安全技术的发展趋势，满足业务未来发展的需求。可持续性满足信息系统全生命周期管理的安全保障要求，为信息系统提供持续的安全保障。平衡性安全技术的使用不能以影响业务系统正常运行、降低员工的工作效率为代价，安全技术规划要考虑安全要求与业务要求平衡性。安全技术机构设计思路集团信息安全保障总体框架如下图所示：集团信息安全架构集团信息安全

11、保障总体框架以信息安全方针为指引，以信息化架构为基础，核心涵盖信息安全管理体系和信息安全技术体系两大体系。信息安全技术体系是满足集团信息安全需求的技术实现，是信息安全工作的重要支柱。通过对ISO/IEC 15408-2 “通用规范（Common Criteria）”进行提炼，总结出身份与信任管理、访问控制、信息流控制、完整性管理、安全审计管理五个安全域，覆盖了所有安全技术需求。各安全域相互依存并分别运作，共同构成一个完整，全面和与企业业务需求紧密相关的安全架构。同时，五个安全域又依托于物理安全、网络安全、主机安全、应用安全和数据安全作为其基础安全架构，共同构建满足集团信息安全需求的重要技术支撑

12、。集团安全体系功能服务组件框架根据对集团信息安全技术需求的总结，参考企业安全技术架构方法，提出集团安全技术架构框架。安全技术架构框架覆盖了集团未来3年所需要的安全技术功能服务组件。每个定义的安全技术功能服务组件，都能够形成独立安全服务平台，用于实现集团的安全技术目标。安全技术功能服务组件框架同时也是集团的安全技术功能服务组件库，便于集团的安全技术人员从组件库中选取所需的安全服务组件，以规范一致的方式来进行的安全技术解决方案设计。安全技术功能服务组件框架安全管理功能服务组件目录定义安全管理制度由中电普华未集团输出了大量的三级文件（主要是传统安全管理制度），缺失云安全管理制度（等级保护二分册的要求

13、），需要完善。本次规划不涉及制度的编写。安全管理制度集团安全组织结构由集团领导担任信息安全决策层，对信息安全发展发现进行引导，集团信息中心对集团信息安全提出相关方案和发展建议并确保相关的落地实施；其他部门和其他院所配合信息安全工作。安全组织架构信息安全工作职责安全组织架构完善，但是在执行层，集团安全专员人力不足。需要补充人员。人员分配安全技术功能服务组件目录定义与安全架构方法模型中的五个安全域相对应，定义了五个安全技术功能服务组件目录，分别是物理安全、网络安全、主机安全、数据安全、应用安全。以下是每个安全服务组件目录的定义。物理安全目录该目录定义了数据中心的物理机房进行安全控制的功能服务组件，

14、它们负责对数据中心机房范围内的物理安全把关控制。网络安全目录该目录定义了数据中心的网络进行安全控制的功能服务组件，它们负责对数据中心机房范围内的网络安全把关控制，对IT网络正确、完整、可靠运行提供安全控制。在本目录中包含的安全服务组件有边界防火墙策略、网络设备安全加固、防火墙。主机安全目录该目录定义了数据中心的主机进行安全控制的功能服务组件，它们负责对数据中心机房范围内的主机安全把关控制，对主机系统的安全、稳定运行提供安全控制。在本目录中包含的安全服务组件有入侵防御系统、运维审计系统、主机系统安全加固服务。应用安全目录该目录定义了数据中心的应用系统进行安全控制的功能服务组件，它们负责对数据中心

15、机房范围内的应用安全把关控制，对应用系统的安全、稳定运行提供安全控制。在本目录中包含的安全服务组件有WEB应用防火墙、代码审计服务、漏洞扫描系统。数据安全目录该目录定义了数据中心的数据进行安全控制的功能服务组件，它们负责对数据中心机房范围内的数据安全把关控制，对数据的完整性、可靠性、可用性行提供安全控制。在本目录中包含的安全服务组件有数据库审计系统、数据恢复演练服务。安全技术功能服务组件定义网络安全目录网络安全目录包含以下的安全技术功能服务组件。网络安全规划重点每个安全技术功能服务组件的说明如下。结构安全（1）结构安全（1）集团有多租户需求，且多个租户内会出现IP地址重叠。基于VPC（ Vir

16、tual Private Cloud Tenant）技术对租户与租户之间实现隔离，实现多租户东西向安全。融合效果：新网络够通过对网络模型进行逻辑抽象，实现对物理网络的切片。通过不同业务映射到不同的vRouter上，实现业务虚拟逻辑网络的隔离通过router之间的路由引入引出，则可以灵活满足不同业务间互通的需求结构安全（2）结构安全（2）SDN关键技术是服务链。数据报文在网络中传递时，需要经过各种安全服务节点，提供给用户安全、自定义的网络服务。常见的服务节点（Service Node）：防火墙（FW）、负载均衡(LB)、入侵检测（IPS）、VPN等。服务链定义：SDN控制器对网络进行逻辑抽象，并

17、实现对业务的灵活自定义编排；业务流量按照控制器的编排顺序经过一组抽象业务功能节点，完成对应业务功能的处理。边界安全边界安全找出集团信息内网需要防护的网络边界，利用边界防火墙进行安全防护。边界策略访问控制针对主机的访问权限及安全审计风险，部署运维审计系统（堡垒机）。实现数据中心内部资产管理，包含网络设备、安全设备、主机服务器等；实现对数据中心内部资产的访问控制和权限控制，并进行审计记录；实现访问资产时进行双因子认证。堡垒机实现访问控制入侵防护（1）针对入侵防护，部署入侵防御系统对中心网络进行入侵防御。采用实时分析，自动阻截异常报文与异常流量；识别、阻断某些内网用户对某个或某些特定网站的访问；当发

18、现有异常流量时，生成动态过滤规则对恶意流量进行过滤，同时通过各种手段对合法流量进行验证，保证网络和服务正常提供；实时分析、记录、阻截网络中的病毒报文，防止网络中的主机被病毒感染。入侵防护入侵防护（2）DDOS攻击一般分为三类。第一类以力取胜，海量数据包从互联网的各个角落蜂拥而来，堵塞IDC入口，让各种强大的硬件防御系统、快速高效的应急流程无用武之地。第二类以巧取胜，灵动而难以察觉，每隔几分钟发一个包甚至只需要一个包，就可以让豪华配置的服务器不再响应。这类攻击主要是利用协议或者软件的漏洞发起。第三类是上述两种的混合，轻灵浑厚兼而有之，既利用了协议、系统的缺陷，又具备了海量的流量。DDOS入侵防护

19、没有任何技术是可以完全防御DDOS的方法，所以DDOS这只能平时注意，尽早发现尽早防御。安全审计部署统一日志服务平台实现安全审计。定位于面向业务的安全运维管理中心，实现整网安全风险的监测、预警、响应、管理的闭环管理；实现安全、网络、应用的融合监控；实现安全风险态势呈现、业务部署、安全多维分析、安全响应和报告等。安全审计企业的IT信息系统越来越庞大，部署的安全设备和安全应用也越来越多，安全技术手段日益丰富，但是安全状况却不见好转，管理工程师往往感到无所适从。如何保证安全管理工作的有效(有效果和有效率的)，是摆在IT安全管理人员面前的主要难题设备防护网络设备自身的安全是网络安全的一个重要方面，需要

20、对其进行安全加固。从访问控制、服务、配置策略和固件的升级方面进行考虑。比如：访问控制：只有那些需要访问设备的人被允许进行设备访问。在最小权限下，对角色进行检查，删除不必要的权限。禁用无关服务：根据需求确定设备应提供的网络服务，对于之外的网络服务应该禁用；禁用不该有的缺省服务和已知的不安全服务。修改不安全的配置：对配置进行审查，对不安全的配置进行修改。比如，设备出厂时一般都会有一个管理员帐户，并配安全强度不够的口令或者很简单的口令字，容易被暴力（brute force）攻破。固件升级：设备都会有各种各样的Bug存在，这些Bug的存在可能会为攻击者创造入侵机会。比如DLINK漏洞；绿盟、启明星辰和

21、铱讯通的WAF产品存在上传检测bypass漏洞，攻击者可利用该漏洞绕过WAF检测，直接上传文件。网络安全规划图其中安全产品DDOS攻击防护、WAF和上网行为管理双机热备模式串联在出口区，IPS串联在出口区。虚拟网络采用SDN、VPN和NFV架构。网络区域边界利用边界防火墙进行防护。所有的设备进行安全加固。网络规划拓扑主机安全目录网络安全目录包含以下的安全技术功能服务组件。主机安全规划重点入侵防护主机系统的安全加固，对已上线运行的物理主机和虚拟主机，采用自动配置下发的方式进行加固；对将来将要上线的虚拟主机，加固虚拟机模板后续主机系统的安全性。主机安全加固恶意代码防护无代理杀毒软件实现无代理恶意代

22、码防护，同时具备攻击防护、虚拟补丁和细粒度访问控制功能。杀毒软件模型图访问控制OpenStack中的Security Group（安全组）实现虚机之间的访问控制。安全组，是一些规则的集合，用来对虚拟机的访问流量加以限制，使用iptables，给虚拟机所在的宿主机添加iptables规则。可以定义n个安全组，每个安全组可以有n个规则，可以给每个实例绑定n个安全组，nova中总是有一个default安全组，创建实例的时候，如果不指定安全组，会默认使用default安全组。安全组安全组通过IPTables来做包过滤；安全组由L2 Agent来实现,比如neutron-openvswitch-agen

23、t和neutron-linuxbridge-agent,会将安全组规则转换成IPTables规则,而且一般发生在所有计算节点上。安全组则可以作用于任何进出虚拟机的流量。在云平台中部署安全组可以和防火墙达到双重防护。外部恶意访问可以被防火墙过滤掉,避免了计算节点的安全组去处理恶意访问所造成的资源损失。即使防火墙被突破,安全组作为下一到防线还可以保护虚拟机。最重要的是,安全组可以过滤掉来自内部的恶意访问。剩余信息保护利用虚拟平台自带的彻底销毁数据功能销毁虚拟机数据。彻底删除虚机功能安全审计通过安全监管平台实现虚拟机的监控，并对异常进行告警。安全监管平台主机安全规划图通过VPC通道保证租户隔离。无代

24、理杀毒保证主机病毒防护。安全组保证主机的访问控制安全。安全监管平台保证主机审计。主机安全规划图应用安全目录应用安全目录规划重点代码审计针对代码无法发现代码中存在的安全漏洞，利用代码审计发现和杜绝现有的代码中存在的不规范而导致的漏洞，预防以后出现类似安全风险。代码审计Web应用系统在开发过程中不可避免的会存留诸多安全缺陷，加之集团复杂的业务场景和部署环境更使其在运行过程中面临多种多样的安全风险。在Web应用系统上线前针对源代码进行安全检测，可以大幅降低应用系统生命周期中遭遇攻击的可能，并减少后期的维护成本。定期代码审计服务应该至少包含：代码规范检查、代码漏洞扫描、渗透测试等。漏洞扫描平台在防范攻

25、击的同时，集团还应建立漏洞扫描系统及定时扫描机制，并及时更新漏洞库。漏洞扫描系统发现集团现网内的安全漏洞，并给出整改建议。可以通过模拟渗透测试、暴力破解、合规审查等方式发现现网内存在的风险点，比如：弱口令、不安全的服务等。漏洞扫描不需要实时扫描，扫描频率在每月一次，输出扫描报告，对有新上线的业务或模块进行即时扫描。根据扫描结果对高中危漏洞进行判断整改。漏洞扫描系统扫描时会产生大量日志，会占用扫描对象计算资源（CPU利用率会增加1%-3%），存在极小的宕机风险。漏洞扫描系统一般采用加密狗认证，加密狗一般采用USB2接口，虚拟机无法直接透传，建议采用第三方透传软件在虚拟机上进行认证或者在物理服务器上直接使用加密狗认证。WEB防护攻击对集团的WEB应用入侵防护处理，建议使用WEB应用防火墙（ WAF）实现。现阶段WEB应用防火墙采用透明模式部署在出口区，随着集团业务的发展和多租户的需求，可以采用软件WEB应用防火墙用反向代理的模式部署在云计算租户下。WEB应用防火墙WAF可以防护大量诸如协议限制、注入攻击、跨站攻击等各类WEB攻